Soda

**Nome do software vulnerável e versões afetadas** MediaWiki - PageTriage, versões 1.39.X a 1.39.8 MediaWiki - PageTriage, versões 1.41.X a 1.41.2 MediaWiki - PageTriage, versões 1.42.X a 1.42.1 **Descrição** A vulnerabilidade afeta a extensão Mediawiki - PageTriage, permitindo a contornagem da autenticação e a exposição de informações confidenciais a usuários não autorizados. **Recomendações** Para as versões 1.39.X a 1.39.8, atualize para a versão 1.39.9 ou posterior. Para as versões 1.41.X a 1.41.2, atualize para a versão 1.41.3 ou posterior. Para as versões 1.42.X a 1.42.1, atualize para a versão 1.42.2 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do MediaWiki anteriores à 1.35.14 Versões do MediaWiki 1.36.x a 1.39.x anteriores à 1.39.6 Versões do MediaWiki 1.40.x anteriores à 1.40.2 **Descrição** O problema está relacionado à extensão PageTriage no MediaWiki, que está associada à neutralização inadequada de entradas durante a criação de páginas da web. Isso pode permitir que um invasor remoto execute ataques de script entre sites. Os ataques podem ocorrer por meio de várias mensagens, incluindo `rev-deleted-user`, `pagetriage-tags-quickfilter-label`, `pagetriage-triage`, `pagetriage-filter-date-range-format-placeholder`, `pagetriage-filter-date-range-to`, `pagetriage-filter-date-range-from`, `pagetriage-filter-date-range-heading`, `pagetriage-filter-set-button` ou `pagetriage-filter-reset-button`. **Recomendações** Para versões do MediaWiki anteriores à 1.35.14, atualize para a versão 1.35.14 ou posterior. Para versões do MediaWiki 1.36.x a 1.39.x, atualize para a versão 1.39.6 ou posterior. Para versões do MediaWiki 1.40.x anteriores à 1.40.2, atualize para a versão 1.40.2 ou posterior. Como solução temporária, considere restringir o acesso à extensão PageTriage até que um patch esteja disponível. Evite usar as mensagens vulneráveis na extensão PageTriage até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** MediaWiki ProofreadPage extension versions prior to 1.35.12 MediaWiki ProofreadPage extension versions 1.36.x through 1.39.x before 1.39.5 MediaWiki ProofreadPage extension versions 1.40.x before 1.40.1 **Description** The issue exists due to a lack of protection for the web page structure in the ProofreadPage extension for MediaWiki. This can allow a remote attacker to perform cross-site scripting attacks. The attack can occur via the `formatNumNoSeparators` function. **Recommendations** For MediaWiki ProofreadPage extension versions prior to 1.35.12, update to version 1.35.12 or later. For MediaWiki ProofreadPage extension versions 1.36.x through 1.39.x, update to version 1.39.5 or later. For MediaWiki ProofreadPage extension versions 1.40.x before 1.40.1, update to version 1.40.1 or later. As a temporary workaround, consider disabling the `formatNumNoSeparators` function until a patch is available.

**Name of the Vulnerable Software and Affected Versions** MediaWiki PageTriage extension versions prior to 1.35.12 MediaWiki PageTriage extension versions 1.36.x through 1.39.x before 1.39.5 MediaWiki PageTriage extension versions 1.40.x before 1.40.1 **Description** An issue was discovered in the PageTriage extension for MediaWiki, where usernames of hidden users are exposed. This could allow a remote attacker to gain unauthorized access to protected information. **Recommendations** For MediaWiki PageTriage extension versions prior to 1.35.12, update to version 1.35.12 or later. For MediaWiki PageTriage extension versions 1.36.x through 1.39.x, update to version 1.39.5 or later. For MediaWiki PageTriage extension versions 1.40.x, update to version 1.40.1 or later.

**Name of the Vulnerable Software and Affected Versions** MediaWiki ProofreadPage extension versions through 1.39.3 **Description** An issue in the ProofreadPage extension for MediaWiki allows hidden users to be exposed via public interfaces, specifically in the includes/Page/PageContentHandler.php and includes/Page/PageDisplayHandler.php files. **Recommendations** For versions through 1.39.3, consider restricting access to the `PageContentHandler` and `PageDisplayHandler` classes until a patch is available. As a temporary workaround, review the configuration of public interfaces to minimize the exposure of hidden users. At the moment, there is no information about a newer version that contains a fix for this vulnerability.